MMGP logo
Присоединяйтесь к нашему инвестиционному форуму, на котором уже 640,994 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение - зарегистрируйтесь прямо сейчас.
Обсуждение новостей, связанных с интернетом и технологиями.
Старый 26.10.2017, 10:06
#1
 
Имя: Ростислав
Пол: Мужской
Адрес: Украина
Регистрация: 17.11.2008
Сообщений: 7,981
Благодарностей: 2,502

награды Ветеран MMGP.RU 


Наряду с рассылкой 24 октября шифровальщика файлов Locky, который распространялся через фишинговые сообщения и использовал технику DDE, наблюдалась более массовая рассылка шифровальщика файлов Bad Rabbit через скомпрометированные веб-сайты благодаря drive-by download атаке.

Данная атака позволяла злоумышленникам распространять вредоносное программное обеспечение через веб-сайты, даже не взламывая их, сообщает Команда реагирования на компьютерные чрезвычайные события Украины CERT-UA Госспецсвязи.

Как сообщается, первоначальное заражение произошло через скомпрометированные веб-сайты и фейковое обновление Flash Player, которое для активации и последующей эксплуатации требовало взаимодействие с пользователем (пользователь должен подтвердить согласие на установки обновления).

Распространение в локальной сети происходило через сканирование внутренней сети на открытость SMB-файлов открытого доступа, а также попыткой использовать протокол HTTP WebDAV, который базируется на HTTP и позволяет использовать Web как ресурс для чтения и записию
Использовался Mimikatz для извлечения учетных данных пользователя из памяти инфицированного ПК и легитимное программное обеспечение DiskCryptor для шифрования файлов.

Типы расширений файлов, которые были зашифрованы на ПК пользователя:


Индикаторы компрометации: hxxp: //185.149.120 [.] 3 / scholargoogle /
hxxp: // 1dnscontrol [.] com / flash_install.php
hxxp: // caforssztxqzf2nm [.] onion
Скомпрометированы сайты: hxxp: // argumentiru [.] com
hxxp: //www.fontanka [.] ru
hxxp: // grupovo [.] bg
hxxp: //www.sinematurk [.] com
hxxp: //www.aica.co [.] jp
hxxp: // spbvoditel [.] ru
hxxp: // argumenti [.] ru
hxxp: //www.mediaport [.] ua
hxxp: //blog.fontanka [.] ru
hxxp: // an-crimea [.] ru
hxxp: //www.t.ks [.] ua
hxxp: // most-dnepr [.] info
hxxp: //osvitaportal.com [.] ua
hxxp: //www.otbrana [.] com
hxxp: //calendar.fontanka [.] ru
hxxp: //www.grupovo [.] bg
hxxp: //www.pensionhotel [.] cz
hxxp: //www.online812 [.] ru
hxxp: //www.imer [.] ro
hxxp: //novayagazeta.spb [.] ru
hxxp: //i24.com [.] ua
hxxp: //bg.pensionhotel [.] com
hxxp: // ankerch-crimea [.] ru

По оценке ESET, за 24 октября атакам Bad Rabbit подверглись компьютеры в нескольких странах. Большинство из них (65%) были в России, еще 12% - в Украине, атакованы были также компьютеры в Болгарии (10%), Турции (6%) и Японии (4%).

Источник
Rost77 вне форума
Войдите, чтобы оставить комментарий.
Опции темы

Быстрый переход